欧美一区激情在线观看_午夜亚洲中文电影_老人看护网站av_青青草成人影视_自拍小视频在线看男人日韩_国产很爽的超薄丝袜脚交视频_久久影院亚洲理论_熟妇高潮一区二区高潮_国产清纯91在线系列_国产精品www嫩草桃花岛

隨著技術(shù)的持續(xù)發(fā)展,Rust生態(tài)系統(tǒng)日益成熟，新的惡意軟件樣本類型和攻擊手法也不斷涌現(xiàn)。因此，應(yīng)對(duì)和分析Rust樣本是有必要的。

接下來，本文將從多個(gè)角度剖析Rust在惡意軟件中的具體應(yīng)用，并對(duì)最新捕獲的Rust樣本進(jìn)行詳細(xì)分析。

Rust通過asm!宏支持內(nèi)聯(lián)匯編（Inline Assembly），允許開發(fā)者直接在代碼中嵌入特定架構(gòu)的機(jī)器指令。這一特性使病毒開發(fā)者在編寫Shellcode時(shí)，能夠更加靈活且具有更強(qiáng)的控制力。

use std::arch::asm;//Linuxfn main() {unsafe{asm!("mov rax, 60","mov rdi, 42","syscall",        );}}

Cobalt Strike通過Rust重寫的核心部分在于其通信協(xié)議的實(shí)現(xiàn)，主要包括RSA加解密、AES加解密、Base64編解碼及配置文件的加密與解析。其具體流程為：首先提取配置信息，然后利用RSA對(duì)這些信息進(jìn)行加密，其中加密過程涉及用于AES解密協(xié)商的密鑰。

RSA公鑰

RSA加密

隨后，對(duì)回傳的數(shù)據(jù)進(jìn)行AES加解密。

AES-CBC加解密

Rootkit功能圖

斷鏈隱藏驅(qū)動(dòng)

斷鏈隱藏進(jìn)程

內(nèi)核結(jié)束進(jìn)程

內(nèi)核APC Shellcode注入

getAsyncKeyState獲取鍵盤數(shù)據(jù)

摘除進(jìn)程回調(diào)、線程回調(diào)、模塊加載回調(diào)、注冊(cè)表回調(diào)。

摘除進(jìn)程回調(diào)、線程回調(diào)、模塊加載回調(diào)、注冊(cè)表回調(diào)

查殺圖

執(zhí)行流程圖如下：

main函數(shù)

管理員權(quán)限執(zhí)行

計(jì)劃任務(wù)

通過PowerShell命令創(chuàng)建計(jì)劃任務(wù)。

User-Agent（UA）

隨后，樣本會(huì)在https://fanciful-gelato-78b95c.netlify.app/15429b.bin中下載惡意Shellcode代碼，并將其加載執(zhí)行。

下載惡意Shellcode代碼

接下來，樣本通過申請(qǐng)內(nèi)存空間、復(fù)制惡意代碼并修改內(nèi)存屬性（設(shè)置為可執(zhí)行權(quán)限）的方式，加載并執(zhí)行Shellcode。

分配內(nèi)存

最后，樣本通過創(chuàng)建新線程來實(shí)現(xiàn)執(zhí)行惡意代碼。

線程執(zhí)行

MSI釋放文件

通過對(duì)MSI安裝包的CustomAction進(jìn)行分析，可以發(fā)現(xiàn)protector.exe是由aicustact.dll的導(dǎo)出函數(shù)LaunchAPP啟動(dòng)執(zhí)行的。而火狐瀏覽器安裝程序則是通過viewer.exe以命令行方式進(jìn)行安裝的。

MSI主行為

AI_APP_FILE

初始版本的Rust加載器附帶了PDB符號(hào)文件。經(jīng)分析發(fā)現(xiàn)，其行為與變種版本基本一致：均通過添加計(jì)劃任務(wù)實(shí)現(xiàn)持久化，并從網(wǎng)絡(luò)地址http://107.167.2.178/15429.bin下載并執(zhí)行惡意代碼。

下載惡意代碼

后續(xù)加載過程與變種版本相同，具體步驟如下：先開辟一塊內(nèi)存空間，再將內(nèi)存的權(quán)限修改為可執(zhí)行，最后創(chuàng)建線程來執(zhí)行下載的惡意代碼。

對(duì)網(wǎng)絡(luò)獲取的惡意代碼Shellcode進(jìn)行分析后，發(fā)現(xiàn)其執(zhí)行方式同樣是通過內(nèi)存加載PE文件。該版本與變種版本的主要區(qū)別在于，其中的Xworm后門為未修改的5.6版本。